GuLoader: Evolucija
Zlonamjerni softver pod nazivom GuLoader je značajna briga za sigurnosne istraživače zbog svoje sofisticirane prirode i taktike izbjegavanja. Sada je sigurnosna kompanija Cado Security Labs otkrila najnoviju kampanju GuLoader zlonamjernog softvera koja cilja industrijske i inženjerske kompanije širom Evrope, što predstavlja značajnu prijetnju i pojedincima i organizacijama.
GULOADER
Zlonamjerni softver pod nazivom GuLoader je poznat po svojoj prirodi izbjegavanja i svestranosti u isporuci različitih korisnih tereta (eng. payloads), predstavlja značajnu prijetnju i pojedincima i organizacijama.
Jedna od primarnih njegovih funkcija je da djeluje kao program za preuzimanje ili program za učitavanje za druge trojance za daljinski pristup (eng. Remote Access Trojans – RAT), kao što su Remcos, NetWire i AgentTesla. Koristi jedinstvene metode da izbjegne otkrivanje ubrizgavanjem kôda svog sekundarnog komandnog okruženja u legitimne procese, čime se stapa sa normalnim Windows procesima i potencijalno izbjegava otkrivanje od strane od bezbjednih proizvoda i korisnika.
Funkcionisanje
GuLoader se prvenstveno širi putem priloga spear-phishing elektronske pošte koji sadrže arhivske datoteke kao što su .iso, .7z, gzip ili ,rar. Poruke su poslane proizvodnim elektronskim, inženjerskim i industrijskim firmama u zemljama kao što su Rumunija, Poljska, Njemačka i Kazahstan. Elektronske poruke se često prikrivaju da izgledaju legitimno otimanjem postojećih elektronskih poruka ili traženjem informacija o narudžbinama sa kompromitovanih naloga.
Nakon izvršenja preuzete datoteke, pokreće se PowerShell skripta koja sadrži zamagljenu funkciju pod nazivom koja preuzima sekundarnu datoteku sa određene URL adrese i čuva je na uređaju. Sekundarna preuzeta datoteka se dekodir korištenjem Base64 šeme i konvertuje u ASCII i čuva se kao nova skripta.. Ova nova PowerShell skripta je dodatno zamagljena pomoću funkcije “Boendes”, koja demaskira nizove koristeći “for” petlju koja uzima svaki peti znak dok ostatak popunjava neželjenim znakovima.
Druga faza GuLoader zlonamjernog softvera ubrizgava komandno okruženje u legitimni proces “msiexec.exe”, dopirući do domena kako bi povratio dodatni korisni teret koji sigurnosni istraživači nisu uspjeli preuzeti. Prethodna istraživanja o GuLoader zlonamjernom softveru sugerišu da je konačni teret obično trojanac za daljinski pristup (RAT) kao što su Remcos, NetWire ili AgentTesla. Druga skripta takođe kreira ključ u registrima za postojanost kako bi se obezbijedio njegov nastavak rada čak i nakon ponovnog pokretanja uređaja.
Izbjegavanje otkrivanja
Izbjegavanje i prikrivanje su značajni aspekti GuLoader dizajna kako bi se izbjeglo otkrivanje od strane bezbjednosnih proizvoda. Zlonamjerni softver ubrizgavanje procesa za pokretanje zlonamjernog kôda kroz legitimne procese, čineći da žrtvama oni izgledaju kao normalni Windows procesi i potencijalno izbjegavajući otkrivanje od strane bezbjednosnih proizvoda. Primijenjene prilagođene metode zamagljivanja čine analizu datoteka izazovnijom za sigurnosne istraživače, što zauzvrat otežava kreiranje detekcije.
Prilagodljivost ovog zlonamjernog programa za učitavanje omogućava zlonamjernim akterima koji ga primjenjuju da koriste različite konačne korisne terete bez potrebe da svaki od njih prilagođavaju kako bi izbjegli otkrivanje. Ova fleksibilnost znači da se GuLoader može koristiti sa više RAT zlonamjernih softvera i drugih tipova zlonamjernog softvera, što ga čini efikasnim alatom u arsenalu zlonamjernih aktera.
Tehnike za sprečavanje analize koje koristi GuLoader uključuju korišćenje neželjenog kôda i šifrovanog kôda komandnog okruženja kako bi se otežala analiza. Ove metode su dizajnirane da izbjegnu otkrivanje tokom obrnutog inženjeringa ili statičke analize datoteka. Upotreba prilagođenog prikrivanja otežava bezbjednosnim proizvodima da identifikuju zlonamjerno ponašanje, jer možda neće prepoznati demaskirane nizove kao zlonamjerne komande.
Pored prilagodljivosti i za sprečavanje analize, GuLoader takođe koristi razne metode izbjegavanja da bi izbjegao otkrivanje pomoću alata za analizu mrežnog saobraćaja. Ubacivanjem komandnog okruženja u legitimne procese kao što je “msiexec.exe”, on može da se uklopi sa normalnom Windows aktivnošću i potencijalno prođe pored bezbjednosnih proizvoda koji prate mrežni saobraćaj u potrazi za sumnjivim ponašanjem.
ZAKLJUČAK
GuLoader je sofisticirani zlonamjerni softver koji nastavlja da predstavlja značajnu prijetnju sajber bezbjednosti u industrijskom sektoru Evrope. Njegovo izbjegavanje, upotreba tehnika protiv analize i prilagođene metode zamagljivanja čine ga izazovnim za otkrivanje i analizu. Fleksibilnost koju pruža njegova tehnika ubrizgavanja procesa omogućava zlonamjernim akterima da primijene različite konačne korisne terete bez potrebe da svaki od njih prilagođavaju za izbjegavanje detekcije.
Razumijevanje tehnika koje koristi GuLoader je od suštinske važnosti da bi se ostalo ispred ovog sofisticiranog zlonamjernog softvera. Analizom njegovog načina rada, sigurnosni istraživači mogu razviti efikasniju odbranu od ovakvih prijetnji i smanjiti potencijalnu štetu prouzrokovanu ovim zlonamjernim aktivnostima. Kao i kod svake napredne prijetnje, kontinuirano istraživanje i saradnja među profesionalcima za sajber bezbjednost su ključni za održavanje bezbjednog digitalnog okruženja za organizacije širom sveta.
Otkriće ove najnovije GuLoader kampanje naglašava potrebu za budnošću i snažnim mjerama sajber bezbjednosti među evropskim industrijama. Kompanije treba da budu oprezne prema sumnjivoj elektronskoj pošti koja sadrže priloge arhivskih datoteka i da osiguraju da su njihovi sistemi opremljeni da otkriju i blokiraju takve prijetnje. Redovna ažuriranja i bezbjednosne provjere takođe mogu pomoći u zaštiti od zlonamjernog softvera u razvoju kao što je GuLoader.
ZAŠTITA
Pošto GuLoader nastavlja da prilagođava svoje tehnike zaobilaženju sistema za detekciju, isporučujući trojance za daljinski pristup (RAT) koji mogu da ugroze industrijske i inženjerske kompanije u Evropi, korisnicima i organizacijama preostaje da primjene snažan bezbjednosni plan zasnovan na budnosti i proaktivnim mjerama. Evo nekoliko preporuka:
- GuLoader često koristi spear-phishing kampanje da inficira sisteme. Potrebno je biti oprezan sa elektronskim porukama koje zahtevaju informacije o porudžbinama ili oponašaju stvarne poruke elektronske pošte. Uvjeriti se da organizacija ima jake filtere za neželjenu poštu, šifrovanje elektronske pošte i programe obuke zaposlenih za prepoznavanje phishing pokušaja,
- Zlonamjerni softver GuLoader koristi ubrizgavanje procesa da bi izbjegao otkrivanje pokretanjem zlonamjernog kôda kroz legitimne procese. Implementacija softvera za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) može pomoći u identifikaciji takvih aktivnosti kako se dešavaju u realnom vremenu, omogućavajući brz odgovor i oporavak,
- GuLoader zamagljene datoteke čine analizu izazovnijom, zbog toga je od suštinskog značaja usvajanje naprednih sistema za otkrivanje prijetnji koji mogu da dešifruju ove tehnike. Pošto zlonamjerni akteri koji primjenjuju GuLoader mogu da koriste različite konačne korisne podatke, neophodno je imati ažurirane potpise i analitiku ponašanja za otkrivanje i blokiranje poznatih RAT zlonamjernih softvera kao što su Remcos, NetWire i AgentTesla. Redovno ažuriranje bezbjednosnog softvera osigurava da on ostaje ispred najnovijih metoda izbjegavanja koje koriste zlonamjerni akteri,
- Ovaj zlonamjerni softver kreira ključ u sistemskim registrima da bi održao svoje prisustvo na kompromitovanim uređajima, pa je zbog toga primjena alata za nadgledanje sistemskih registara od pomoći u otkrivanju i uklanjanju ovih ključeva, sprečavajući da zlonamjerni softver ponovo zarazi sisteme nakon pokušaja uklanjanja,
- Upotreba neželjenog kôda i šifrovanog kôda komandnog okruženja u GuLoader zlonamjernom softveru otežava analizu, pa je preporuka korišćenje zaštićenog izolovanog okruženja (eng. sandbox environments) za analizu datoteka koje može pomoći u identifikaciji ovih tehnika bez ugrožavanja bezbjednosti sistema,
- Usvajanjem višeslojnog bezbjednosnog pristup koji uključuje segmentaciju mreže, zaštitne zidove, sisteme za otkrivanje/prevenciju upada (eng. intrusion detection/prevention systems – IDPS) i druge zaštitne mjere za stvaranje višestrukih barijera protiv prijetnji kao što je GuLoader može se otežati bočno kretanje (eng. lateral movement) unutar mreže ako zlonamjerni softver dobije pristup,
- U slučaju da dođe do infekcije, dobro definisan Plan odgovora na sajber prijetnju može pomoći da se smanji šteta i sprovede brz se oporavak. Ovo bi trebalo da uključuje korake za identifikaciju izvora napada, izolovanje pogođenih sistema, uklanjanje zlonamjernog softvera, vraćanje podataka iz rezervnih kopija i pregled bezbjednosnih mjera za sprečavanje budućih infekcija,
- Redovno revidirati i pregledati bezbjednosne politike, konfiguracije i kontrole kako bi se osiguralo da su efikasne protiv trenutnih prijetnji kao što je GuLoader. Ovo uključuje redovno sprovođenje penetracijskog testiranja i procjene ranjivosti.
Ostajući na oprezu, primjenom robusnih bezbjednosnih mjera i prilagođavanjem odbrane kako se pojave nove prijetnje, organizacije mogu efikasno da se suprotstave ovom zlonamjernom softveru i zaštite svoje vrijedne podatke i sisteme od neovlaštenog pristupa.